En este tema se explica cómo implementar y gestionar el modelo de centro de distribución y radios cuando se usa Microsoft AD gestionado.
Hub and spoke en Google Cloud
El modelo de concentrador y radio es un diseño de red en el que el dispositivo central, o concentrador, está conectado a varios dispositivos, o radios. Para implementar este diseño en Google Cloud, crea una nube privada virtual (VPC) que esté conectada a tu red on-premise mediante Cloud Interconnect o una VPN. La VPC actúa como centro de control. Con el peering de VPC, puedes crear conexiones con otros proyectos y tus recursos locales, o radios.
Aunque este modelo funciona con los elementos del mismo nivel que el centro de control, no se adapta a los elementos del mismo nivel que los elementos del mismo nivel. El emparejamiento de VPC no es transitivo y el intercambio de rutas personalizadas solo admite la propagación de rutas a un peer inmediato, no a los peers de los peers.
Impacto en Microsoft AD gestionado
Para proporcionar conectividad con las redes autorizadas alojadas en proyectos de usuario, el servicio gestionado de Microsoft AD usa el emparejamiento de VPC con el intercambio de rutas habilitado de forma predeterminada. De esta forma, se permite la conectividad entre las redes autorizadas y los proyectos de propietario alojados en la VPC. También puedes configurar Cloud Interconnect o una VPN directamente con una red autorizada.
Sin embargo, si la red autorizada es un radio o está emparejada con una red conectada a la red on-premise, los recursos de Managed Microsoft AD no podrán acceder a los recursos on-premise, y viceversa. Hay dos posibles soluciones alternativas para permitir la conectividad.
Utilizar VPC compartida
Si es posible, utiliza una VPC compartida. No depende del peering, por lo que no se ve afectada por las limitaciones de intercambio de rutas.
Usar una VPN
También puedes usar una VPN entre el centro y los radios en lugar del emparejamiento de VPC para superar la limitación del intercambio de rutas.
Imagen 1. Usar una VPN para evitar la limitación de intercambio de rutas.
Esta solución alternativa no es la más adecuada porque requiere más planificación de la red y conlleva el coste adicional de los túneles VPN. Cuando creas una VPN entre un centro de conectividad y una red periférica, Managed Microsoft AD se considera un peer directo de la red autorizada y se exportarán las rutas a la red de centro de conectividad. Cuando se usa este método, recomendamos usar el peering de DNS entre la red autorizada y el centro de conectividad y las redes de radio para que las solicitudes de DNS se puedan reenviar a la red de Microsoft AD gestionado a través de la configuración de la red autorizada.